Re: [OT] Politiche di firewalling...reprised
On Sun, 26 Dec 2004 16:10:09 +0100
Johan Haggi <jh@orsobruno.net> wrote:
> gio 23 dicembre 2004, alle 0:25 (GMT+0100), automatic_jack ha scritto:
> > #! /bin/sh
> > #Azzera i contatori dei pacchetti
> > iptables -Z
> > #Svuota tutte le catene dalle loro regole
> > iptables -F
> > #Cancella le catene definite dall' utente
> > iptables -X
> > #Impostazione delle policy
> > iptables -P INPUT DROP
> > iptables -P OUTPUT DROP
> > iptables -P FORWARD DROP
> > #Catena di INPUT
> > #Logga i pacchetti droppati
> > iptables -A INPUT -j LOG --log-prefix "Bloccato "
> > [...]
> Questa spostala alla fine della catena INPUT; ora l'ordine delle
regole
> per INPUT sarebbe:
>
> loggare i pacchetti
> accettare tutto da loopback
> accettare solo established e related da eth0
> "droppare"
>
> se hai /var/log sulla stessa partizione di / e /tmp ti stai facendo un
> bel DOS da solo :-))
>
> > #Catena di OUTPUT
> > #Logga i pacchetti droppati
> > iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
> > [...]
> Idem
>
> Un consiglio in generale: usa delle variabili nello script: se in
futuro
> diventa piu` complesso e cambi IP o interfaccia verso internet e` piu`
> facile cambiarlo.
>
> Esempio:
> IP_INSICURO_1=192.168.1.10
> IF_INSICURA_1=eth0
> iptables -A INPUT -d ${IP_INSICURO_1} -i ${IF_INSICURA_1} ....
> --
> Ave Johan Haggi
> "Se usi microsoft outlook, per favore, non inserire il mio indirizzo
nella tua
> rubrica: non voglio essere invaso da "virus-mail" ogni volta che viene
scoperta
> una delle sue innumerevoli falle." - Autore ignoto - 2003
>
>
> --
> To UNSUBSCRIBE, email to debian-italian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
Innanzitutto ti ringrazio dell' intervento, in effetti la regola
generale prevede di loggare prima del DROP che, nel mio caso, essendo
la azione di default, viene eseguita per ultima...in merito alla
politica di firewalling che ho seguito hai dei consigli? Ho ricavato le
varie regole bloccando tutto e permettendo solo i servizi di cui man
mano mi accorgevo di aver bisogno...
Seguendo i tuoi suggerimenti lo script è divenuto:
#! /bin/sh
#Definizione delle variabili
ip_nic=192.168.1.10
if_nic=eth0
ip_loopback=127.0.0.1
if_loopback=lo
#Azzera i contatori dei pacchetti
iptables -Z
#Svuota tutte le catene delle loro regole
iptables -F
#Cancella le catene definite dall' utente
iptables -X
#Impostazione delle policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Catena di INPUT
#Abilita l' interfaccia di loopback in input
iptables -A INPUT -d ${ip_loopback} -i ${if_loopback} -j ACCEPT
#Abilita le connessioni established e related
iptables -A INPUT -d ${ip_nic} -i ${if_nic} -m state --state
ESTABLISHED,RELATED -j ACCEPT
#Logga i pacchetti droppati
iptables -A INPUT -j LOG --log-prefix "Bloccato "
#Catena di OUTPUT
# Abilita l' interfaccia di loopback in output
iptables -A OUTPUT -s ${ip_loopback} -o ${if_loopback} -j ACCEPT
#Abilita il dns (gestito tramite bind)
iptables -A OUTPUT -p udp -o ${if_nic} -s ${ip_nic} --sport 53 --dport
53 -j ACCEPT
#Abilita ftp-data,ftp, smtp, www, pop3, nntp, https
iptables -A OUTPUT -p tcp -o ${if_nic} -s ${ip_nic} -m multiport
--dports 20,21,25,80,110,119,443 -j ACCEPT
#Logga i pacchetti droppati
iptables -A OUTPUT -j LOG --log-prefix "Bloccato "
Buone feste :)
Reply to: